configuration access-list(ACL) on Alcatel-Lucent OS9900 with AOS8 (알카텔 스위치 acl 설정)

Scenario


망 구성은 위와 같이 되어있다.
네트워크 관리자는 무선 IP 192.168.40.254을 사용하고 있으며
본인만 OV의 관리자 페이지에 접속하도록 백본스위치(OS9907)에서
ACL을 설정해야 한다.



상황#1

서비스 하고 있는 무선 네트워크는 총 4개의 area로 이루어져 있다
각각
WLAN : 192.168.10.0/24
GUEST : 192.168.20.0/24
CONTROL : 192.168.30.0/24
MGMT : 192.168.40.0/24
로 구성되어져 있으며 AP들이 사용하는 Network는 192.168.0.0/23를 사용중이다


상황#2

관리자 192.168.40.254만 OV2500 관리 페이지로 접근할 수 있어야 한다
나머지 사용자들은 접속 불가
알카텔은 cisco와 달리 일반 사용자들이 무선 컨트롤러에 접속 할 필요가 없다
때문에 일반 사용자들 모두 컨트롤러로의 접근을 차단한다










Configuration


우선 설정에 앞서..
알카텔은 시스코의 ACL과는 많이 다르다
일종의 방화벽 설정과 유사하며 acl 번호를 기준으로 하는 extended 및 standard의 개념도 없다
각각 상황에 맞는 OBJECT를 만들어서 룰을 만드는 방식으로 진행한다

1. define network group

먼저 각각 이용할 네트워크 그룹을 생성한다
OV2500은 HA구성으로 되어있다고 가정한다. (real IP : .9 .10)

policy network group "그룹이름" IP주소 mask 서브넷마스크

policy network group OV2500 10.0.0.9 10.0.0.10 10.0.0.11
policy network group WLAN 192.168.10.0 mask 255.255.255.0
policy network group GUEST 192.168.20.0 mask 255.255.255.0
policy network group CONTROL 192.168.30.0 mask 255.255.255.0
policy network group MGMT 192.168.40.0 mask 255.255.255.0
policy network group AP 192.168.0.0 mask 255.255.254.0




2. define condition for filtering

실질적으로 ACL을 적용할 조건을 만드는 단계

policy condition "조건이름" source network group "그룹이름" destination network group "그룹이름"

network group 대신에 ip "IP주소" 로 대체해서 사용 할 수 있다

policy condition OV_C1 source ip 192.168.40.254 destination network group OV2500
policy condition OV_C2 source network group AP destination network group OV2500
policy condition OV_C3 source network group WLAN destination network group OV2500
policy condition OV_C4 source network group GUEST destination network group OV2500
policy condition OV_C5 source network group CONTROL destination network group OV2500
policy condition OV_C6 source network group MGMT destination network group OV2500

설명
OV_C1은 관리자가 접속하는걸 허용해줄 조건
OV_C2는 AP는 OV2500에 TCP 통신을 해야하기 때문에 허용해줄 조건
OV_C3~C6까지는 실질적으로 서비스를 제공받는 사용자들이 무선 컨트롤러에 접속하는걸 차단하기 위한 조건





3. define action (permit or deny)

필터링한 패킷들을 어떻게 처리할 것인지 정의하는 단계

policy action "액션이름" disposition accept
허용

policy action "액션이름" disposition deny
패킷을 deny한다는 뜻

drop 옵션도 있다. log를 남기기 위해 deny 옵션을 사용

policy action accept
policy action deny disposition deny







4. define rule

위에서 생성한 네트워크, 조건, 액션 object들을 이용하여 룰을 생성한다

policy rule "룰이름" precedence 숫자 condition "조건이름" action "액션이름"

precedence는 priority값이라고 보면 된다.
숫자가 클수록 우선한다

policy rule OV_R1 precedence 110 condition OV_C1 action accept log
policy rule OV_R2 precedence 105 condition OV_C2 action accept log
policy rule OV_R3 precedence 100 condition OV_C3 action accept log
policy rule OV_R4 precedence 100 condition OV_C4 action accept log
policy rule OV_R5 precedence 100 condition OV_C5 action accept log
policy rule OV_R6 precedence 100 condition OV_C6 action accept log

뒤에 log를 붙이면 "show qos log"명령어를 통해 log확인이 가능하다






5. apply configuration

제일 중요하다. 설정한 ACL config를 실제로 apply 하는 명령어

qos apply

참고로 qos flush라고 하면 현재 적용되어 있는 qos관련 config들이 모두 지워진다






결론

이렇게 설정하면 관리자인 192.168.40.254만 OV2500으로 접속이 가능하며
같은 네트워크에 있는 다른 192.168.40.x 사용자들은 OV2500으로 접근이 제한된다


policy service 명령어를 통해 특정 tcp port만 차단 또는 허용하는 설정도 가능하다

policy service "서비스이름" destination tcp-port "포트숫자"

udp-port도 설정가능하다


댓글

  1. jacielawages22. 3. 4. 오전 2:15

    What is the most popular casino slot game for real money - Dr.Mcd
    Slots on the Vegas Strip are the most 시흥 출장마사지 popular slot games on the 당진 출장안마 Strip, and the most popular ones 익산 출장안마 have 의정부 출장마사지 been made for the Sega Genesis and Mega Drive. 영주 출장안마

    답글삭제

댓글 쓰기

이 블로그의 인기 게시물

ping 일반오류 (General failure)를 고쳐보자

이미지
시작 일반적으로 인터넷이 안될 때 "ping" 명령어를 이용한다 이때 보게 되는 문구가 PING 전송하지 못했습니다. General failure 일반오류 요청 시간이 만료되었습니다 이것을 구분하려면 icmp의 속성에 대해서 조금 이해가 필요하다 다음은 일반적으로 가정집에서의 네트워크 구조이다 셋탑박스나 IPTV등이 빠져있으나 이번에는 그게 중요한게 아니니 패스 가정집 뿐 아니고 대부분의 경우 가운데 검정색 장비 즉 공유기. 이 공유기가 gateway 역할을 하게 되는데 이 gateway가 가장 중요하다 그래서 보통 인터넷이 잘 안되면 본인의 IP주소를 확인하고 gateway로 ping 체크를 시도한다 여기서 ping이란게 컴퓨터에서 공유기로 뭔가 신호를 보내서 시도하는걸 말하는데 컴퓨터 -> 공유기...   이런 개념이 사실 아니다. 핑 체크가 정상적으로 성공하면 위 그림중에 "192.168.1.10의 응답 바이트=32 시간<1ms TTL=64" 이런식으로 결과가 나오는데 이 결과 한줄이 신호의 왕복을 이야기한다 단순해 보이지만 아주 중요한 개념이다 그럼 이 이야기를 왜 하느냐? 위의 3가지 문구는 크게 2개로 분류할 수 있다. 컴퓨터 -> 공유기로 ping 시도한다는 가정하에 1. 컴퓨터 자신의 문제 2. 공유기의 문제 (LAN 케이블의 문제) 2번은 컴픂터 자신의 문제가 아닌경우 라고 요약할 수 있다 PING 전송하지 못했습니다. General failure 일반오류 이 2가지는 컴퓨터의 문제. 즉 1번 요청 시간이 만료되었습니다 이건 랜케이블 혹은 공유기의 문제이다 여기서 '문제'는 워낙 다양하기 때문에 뭐다! 라고 특정할 수 없다 장애마다 그 원인이 다 다를 수 있다. 빈도의 차이는 있지만 워낙 다양하다 그럼 어떻게 해
Read more »

Windows 10. 공유폴더 쉽게 삭제하기 (feat. CMD)

이미지
시작 IT 자산관리나 보안쪽 이슈중 하나인 보안감사가 있다 말그대로 정보보안을 얼마나 잘 지키면서 근무를 하나 감사를 실시하는건데 사실, 거창하게 서류를 뒤지고 하는 행위보다는 기본적인 보안사항에 대해 초점을 맞추고 진행하는 경우가 대부분이다 그중 가장 취약한 항목이 Windows에서 사용하는 공유폴더 얼마전 내가 근무하는 곳 중 한곳에서도 이것때문에 큰 일을 치뤘다 그래서 오늘은 Windows에서 내 PC에 설정된 공유폴더 리스트 확인 그리고 삭제하는 법등에 대해서 포스팅을 해본다 탐색기보다 COMMAND를 이용하자 탐색기가 마우스를 이용하는 익숙한 환경에 초보자도 쉽게 이용할 수 있다는 이미지가 있지만 공유폴더를 만들때는 그렇다 하지만 지울때는 COMMAND창에서 하는게 더 쉽다는 이야기 1. 공유폴더 확인 CMD창을 불러오는 방법은 윈도우 키를 누른 후 "cmd"라고 입력하면 한글로 명령프롬프트 라는 프로그램이 리스트업된다 이걸 실행하거나 [윈도우키]+[R]을 누른 후 명렁어 창에 "cmd"라고 입력하고 엔터를 누르면 된다 cmd를 실행한 후 위 화면처럼 net share 라고 입력하면 현재 나에게 설정되어 있는 공유폴더 리스트가 나온다 위 화면은 default로 설정되어 있는 폴더들이다. IPC$는 특히 보안에 취약하다. 원격 컨트롤 시 사용하게 되는 폴더로 공유기능 사용시 파이프 역할을 하는 폴더라고 생각하면 된다 만약 본인의 컴퓨터가 원격 데스크탑 서비스를 해야한다면 (원격 허용) 삭제하지 말아야 한다 2. 공유폴더 삭제하기 명령어는 간단하다 net share "공유이름" /delete 해서 위에는 net share ADMIN$ /delete라고 입력했는데 엑세스가 거부되었다고 나온다 무엇? 바로
Read more »

Piolink TiFront Switch password recovery (파이오링크 스위치 비밀번호 초기화)

이미지
파이오링크 TiFront G24 Switch 패스워드 초기화 방법 방법 생각보다 쉽다 1. 우선 스위치의 전원을 켜기 전 Console 연결까지 준비한다음 전원을 올린다 2. 전원을 키자마자 !를 열나게 누른다 즉 Shift + 1을 누른다는 이야기 그럼 위 화면처럼 새로운 프롬프트가 생성되며 Cisco의 ROMMON모드처럼 긴급모드로 진입한다 3. 명령어 setenv default_passwd yes saveenv 이렇게 입력하면 패스워드를 초기 패스워드로 설정하고 flash에 저장하게 된다 4. 시스코에서는 "boot"라고 입력했지만 여기선 run bootcmd 라고 입력해야 긴급모드에서 바로 부팅을 시도하게 된다 5. 가장중요하다 Default ID & Password는 root admin 생각보다 쉽다.
Read more »